我用HOOK API 别的函数。为什么不出错~~但是一改成GETtickcount 就出错呢？？
代码相关如下:
procedure HookAPI;
var
DLLModule: THandle;
dwSize: cardinal;
begin
ProcessHandle := GetCurrentProcess;

DLLModule := LoadLibrary('KERNEL32.dll' );
AddBox := GetProcAddress(DLLModule, 'GetTickCount' ); //取得API地址

JmpCode.JmpCode := $B8;
JmpCode.MovEAX[0] := $FF;
JmpCode.MovEAX[1] := $E0;
JmpCode.MovEAX[2] := 0;

//用下面的这个就行  当然相关的数数也要改变   
//DLLModule := LoadLibrary('user32.dll' );
//AddBox := GetProcAddress(DLLModule, 'MessageBoxW' ); //取得API地址

  OldBox := AddBox;              //存放源API的地址
  JmpCode.Address := @MyBoB;     //取得自己的函数地址  这个就是自己定的gettickcount 函数  它返回的就是正原函数执行的值

  ReadProcessMemory(ProcessHandle, AddBox, @OldProc[0], 8, dwSize);
  WriteProcessMemory(ProcessHandle, AddBox, @JmpCode, 8, dwSize); //修改入口   

end;

[课程]Linux pwn 探索篇！